본문 바로가기

old

(225)

사이버 보안: 불충분한 인증이란? 정의 불충분한 인증(Insufficient Authentication)은 보안 취약점으로, 애플리케이션 또는 시스템에서 적절한 인증 절차 없이 중요한 기능 또는 자원에 접근할 수 있는 상황을 말합니다. 취약점 발생 지점 리스트 인가를 받아야 접근할수 있는 페이지 마이페이지 게시판 취약점 검증 방법 마이페이지 접근시 다시 재인증을 하는가 확인 아이디와 비밀번호가 틀려도 로그인할수 있는 경우 인증을 아이디만으로 하는 경우 공격법 공격 시나리오 공격자는 인증 절차를 우회하거나 무력화시키기 위한 취약점을 탐색합니다. 약한 비밀번호를 통해 인증을 우회하거나 인증된 사용자의 세션을 무단으로 탈취합니다. 취약점을 통해 중요한 기능이나 자원에 접근하고 악용합니다. 발생 과정 대응방법 적절한 인증 절차를 구현하고 강화합..

사이버 보안: 약한 문자열 강도란? 정의 약한 문자열 강도는 비밀번호나 인증 정보 등의 문자열이 얼마나 취약한지를 나타내는 척도입니다. 취약점 발생 지점 리스트 로그인 페이지 취약점 검증 방법 길이, 단순성 아이디: admin, administrator, manager, guest, test, scott, tomcat, root, user, operator, anonymous 등 비밀번호: Abcd, aaaa, 1234, 1111, test, password, public, blank 패스워드, ID와 동일한 패스워드,password123,qwerty, 123456789 등 해커들이 취약한 혹은 자주사용되는 아이디와 비밀번호 리스트를 가지고 해킹을 시도하는 경우가 많으므로, 이를 주의하는것이 필요함. 공격법 공격 시나리오 공격자는 약한 문..

사이버 보안: 정보 누출이란? 정의 불필요한 정보 노출(Information Disclosure)은 웹 서비스에서 사용자나 시스템에게 노출되어서는 안 되는 정보가 외부에 공개되는 보안 취약점을 의미합니다. 취약점 발생 지점 리스트 에러 페이지, http request와 response페이지 취약점 검증 방법 에러 페이지, http request와 response 헤더 with burp suite 로 확인했을때, 버전 정보가 보이는지. 웹페이지에 주석된 중요정보가 웹페이지 소스에 노출되고 있는지 확인 에러 메시지 또는 에러 페이지에서 과도한 정보가 노출되는지 확인 인코딩된 중요정보는 디코딩 가능한지 확인 공격법 공격 시나리오 에러 메시지를 이용한 정보 노출: 공격자는 에러 메시지에서 디버그 정보나 경로와 같은 민감한 정보를 추출합니다...

사이버 보안: 디렉터리 인덱싱이란? 정의 디렉터리 인덱싱 취약점은 웹 애플리케이션에서 발생하는 보안 취약점 중 하나입니다. 이 취약점은 웹 애플리케이션이 사용자의 입력을 검증하지 않고 디렉터리 경로를 동적으로 생성하는 경우에 발생할 수 있습니다. 특정 디렉터리에 초기 페이지 (index.html, home.html, default.asp 등)의 파일이 존재하지 않을 때 자동으로 디렉터리 리스트를 출력하는 취약점 취약점 발생 지점 리스트 모든 페이지 취약점 검증 방법 example.com/경로1/경로2/페이지 일때, example.com/경로1/경로2/를 테스트 example.com/경로1/경로2/페이지 일때, example.com/경로1/../../../를 테스트 example.com/ 일때, example.com/index.php를 테스..

LeetCode 2413. Smallest Even Multiple 자바 문제 풀이 문제 Smallest Even Multiple - LeetCode 문제 해결 방법 multiple of 2라는 뜻은 숫자가 짝수여야 한다는 뜻이다. multiple of n라는 뜻은 숫자가 n의 배수여야 한다는 뜻이다. 이 문제는 n의 배수중에 가장 작은 짝수를 찾는 문제이다. 처음에는 n을 반복해서 증가시키고, 그중 짝수면 리턴하는 알고리즘을 짰었다. 하지만 그러고 깨달았다. 두번째 n의 배수는 언제나 짝수일수밖에 없다. 그러므로 가장 효율적인 알고리즘은 아래와 같다 n이 짝수인지 확인한다. n이 짝수라면 n을 리턴한다. n이 짝수가 아니라면 다음배수는 언제나 짝수이다. 그러므로 n*2를 리턴한다. Github Link https://github.com/eunhanlee/LeetCode_2413_Sma..

사이버 보안: LDAP 인젝션이란? 정의 LDAP(Lightweight Directory Access Protocol) 인젝션은 사용자로부터 입력된 데이터가 적절하게 검증되거나 정리되지 않은 채로 LDAP 쿼리에 사용될 때 발생하는 보안 취약점입니다. 이는 LDAP 디렉터리에서의 무단 접근이나 데이터 조작을 초래할 수 있습니다. 취약점 발생 지점 리스트 사용자 입력이 되어 인증하는 모든 곳 로그인 아이디, 비밀번호 취약점 검증 방법 사용자 입력 값에 변조된 LDAP 쿼리 삽입 후 실행되는지 확인 USERNAME>(&) LDAP 인젝션 치트시트 LDAP(Lightweight Directory Access Protocol) LDAP은 네트워크 디렉토리 서비스를 구현하기 위한 프로토콜로, 사용자, 그룹, 기기 등과 같은 디렉토리 정보를 저장하고..

LDAP 인젝션 치트시트 기본 검색 LDAP 쿼리 LDAP (Lightweight Directory Access Protocol)는 주로 디렉터리 서비스(예: Active Directory)에서 특정 정보를 검색하는 데 사용됩니다. 다음은 기본적인 검색을 위한 LDAP 쿼리의 예입니다: (&(속성1=값1)(속성2=값2)) &는 여러 조건을 결합하는 논리적 "AND" 연산자입니다. 속성1과 속성2는 디렉터리 내에서 검색하려는 속성의 이름입니다 (예: "cn"은 공통 이름, "mail"은 이메일입니다). 값1과 값2는 해당 속성 내에서 찾고자 하는 값입니다. 특정 요구 사항에 맞게 속성과 값을 사용자 정의할 수 있습니다. 예를 들어, "John Doe"라는 공통 이름과 "john.doe@example.com"이라는 이메일 주소를 가..

LDAP(Lightweight Directory Access Protocol)이란 정의 LDAP (Lightweight Directory Access Protocol)은 인터넷 프로토콜 스택의 일부로서 디렉터리 서비스를 제공하는 프로토콜입니다. LDAP 구조 LDAP는 기본적으로 트리구조를 가지고 있으며, 특징적인 조건을 가지고 데이터를 저장합니다. 각 노드를 엔트리라고 부르며, 각 엔트리에는 분류된 정보가 저장됩니다. 엔트리 이름 테이블 LDAP를 이용한 웹싸이트 구조 목적 LDAP은 데이터의 계층적 구조를 사용하여 사용자, 그룹, 장치 등의 정보를 저장하고 검색하기 위한 방법을 제공합니다. 장점 디렉터리 서비스의 계층적 구조로 데이터를 구성하여 효율적인 데이터 검색이 가능합니다. 인증 및 접근 제어에 대한 기능을 제공하여 보안성을 강화할 수 있습니다. 널리 알려진 표준 프로토콜이며..

이전 1 2 3 4 5 ··· 29 다음

티스토리툴바